Absicherung Proxmox

Flopper

New Member
May 1, 2021
4
0
1
28
Hallo zusammen,
ich bin neu in der Welt Proxmox und somit auch neu hier im Forum.

Ich bin zurzeit im 3 Lehrjahr in meiner Ausbildung zum Systemintegrator, und habe mir seit gut einem halben Jahr ein Server bei einem Hoster gemietet.
Auf dem Server experimentiere ich einfach ein wenig rum, Hyperv, Esxi etc. und zur zeit bin ich bei Proxmox.
Ich beschäftige mich momentan mit absichern des Proxmox, die Standard Linux Methoden habe ich schon druch (sudo,fail2ban,)
Die Firewall des Proxmox ist auch komplett dich, momentan geht lediglich der Port 8006 durch. (Habe leider keine vorgelagerte Firewall)
Was mir momentan allerdings noch ein Dornen im Auge ist, ist die Öffentliche Erreichbarkeit der Web Oberfläche und der Standard User root.
Habt ihr Vorschläge für mich wie ich das Web Gui am besten absicher? (Zertifikat via LetsEncrypt ist schon drin)
Ich hatte die Idee eine VM mit einer festen IP aufzusetzen und den Zugriff auf das Web gui nur dieser IP zu erlauben.
Der Zugriff auf die VM würde dann natürlich per VPN etc. verlaufen. Falls die VM allerdings aus irgendwelchen Gründen nicht starten oder abstürzen sollte ist der Zugriff auf den Host weg.

Schonmal vielen Dank für eure Antworten!
 

Dunuin

Famous Member
Jun 30, 2020
7,296
1,759
149
Germany
Noch ein paar Ideen:
1.) eine öffentliche IP für das Management und eine andere öffentliche IP für Dienste, damit Angreifer nicht so leicht das passende Management zu den Diensten finden
2.) öffentliche IP für Dienste führt zur OPNsense VM. Die kann dann das Routing übernehmen, als Firewall dienen und alle Dienste schön isolieren. Dinge wie Reverse Proxy, VPN und Co kann auch alles über Plugins auf der OPNSense VM laufen. Dann kannst du intern auch mit mehreren Bridges oder VLANs arbeiten.

Root komplett für das WebUI sperren ist schwierig. Manche Dinge darf wirklich nur Root im WebUI tun (und kein anderen User dem man alle Rechte wie Root verpasst).
Dein Hoster bietet da kein WebKVM, IPMI oder ähnliches, dass du da zur Not och irgendwie an den Server kommst, wenn du dich mal aussperren solltest?
 

Flopper

New Member
May 1, 2021
4
0
1
28
Noch ein paar Ideen:
1.) eine öffentliche IP für das Management und eine andere öffentliche IP für Dienste, damit Angreifer nicht so leicht das passende Management zu den Diensten finden
2.) öffentliche IP für Dienste führt zur OPNsense VM. Die kann dann das Routing übernehmen, als Firewall dienen und alle Dienste schön isolieren. Dinge wie Reverse Proxy, VPN und Co kann auch alles über Plugins auf der OPNSense VM laufen. Dann kannst du intern auch mit mehreren Bridges oder VLANs arbeiten.

Root komplett für das WebUI sperren ist schwierig. Manche Dinge darf wirklich nur Root im WebUI tun (und kein anderen User dem man alle Rechte wie Root verpasst).
Dein Hoster bietet da kein WebKVM, IPMI oder ähnliches, dass du da zur Not och irgendwie an den Server kommst, wenn du dich mal aussperren solltest?
Hey, erstmal vielen dank für deine Ideen, wie genau ich die Dienste und Management trenne müsste ich mir mal ansehen.
Ich habe aber tatsächlich schon eine PFSense installiert, dort hinter laufen alle meine anderen VMs.
Mein Server hat auch leider nur eine Netzwerkkarte mit Uplink, sonst hätte ich Web Interface und VMs schonmal trennen können.

->Root user sperren
dort wäre die frage ob der extra mit Admin rechten angelegte User zumindest in der lage wäre die freigegeben Ports der Firewall zu ändern.
Dann könnte man sich im Notfall noch per sudo und dann root über ssh anmelden.
Mein Hoster bietet die Möglichkeit den Server in eine Art Rescue System zu booten, oder ich könnte im Notfall eine KVM gegen Aufpreis anschließen lassen.

Was hältst du/ihr eigentlich von der Proxmox internen Firewall?
Reicht diese erstmal so weit? Oder würdet ihr trotzdem immer zu einer vorgeschalteten Hardware Firewall raten?
Das die interne Firewall auf die Leistung des Server geht ist mir klar, aber im Punkt Sicherheit?
 
Last edited:

Dunuin

Famous Member
Jun 30, 2020
7,296
1,759
149
Germany
->Root user sperren
dort wäre die frage ob der extra mit Admin rechten angelegte User zumindest in der lage wäre die freigegeben Ports der Firewall zu ändern.
Das sollte glaube ich gehen.
Dann könnte man sich im Notfall noch per sudo und dann root über ssh anmelden.
Wenn du einem unprivilegierten User erlaubst sich per sudo zum Root zu machen, dann ist das auch nicht sicherer als wenn man gleich root benutzt. Sudo sollte man eigentlich nur nutzen um bestimmten Usern Zugriff auf bestimmte Dateien/Programme zu erlauben, welche man über die Sudo-Konfig-Datei angibt. Dass die User dann alles über ein vorangestelltes "sudo" machen dürfen sollte man da verbieten. Also quasi Whitelisting über Sudo, dass da echt nur das wenige geht, was root Rechte erfordern würde, was der User wirklich braucht und ihm explizit erlaubt wurde.
Was hältst du/ihr eigentlich von der Proxmox internen Firewall?
Reicht diese erstmal so weit? Oder würdet ihr trotzdem immer zu einer vorgeschalteten Hardware Firewall raten?
Das die interne Firewall auf die Leistung des Server geht ist mir klar, aber im Punkt Sicherheit?
Ich persönlich habe hier meine VMs über die OPNsense VM in über ein dutzend Subnetze in eigenen VLANs getrennt. Primär nutze ich da die OPNSense für Regeln die bestimmen, welches Subnetz wie mit welchem Subnetz kommunizieren darf. Die OPNSense ist da ja viel mächtiger und kann auch Intrusion Prevention etc.
Die Proxmox-Firewall ist aber dennoch nützlich, weil man mit ihr eben auch die Kommunikation von VM zu VM innerhalb eines Subnetzes beschränken kann. Das würde zwar auch über iptable innerhalb der VMs gehen, aber im Gegensatz dazu hat der Gast selbst dann ja keinen Zugriff auf die Firewall die ihn schützt. Wenn ich über die Proxmox-Firewall einer VM einen Port eigehend und ausgehend blockiere (z.B. Port 22) und die VM dann gehackt wird und jemand Root-Zugriff erhält, dann kann die VM trotzdem nicht per SSH auf andere VMs im selben Subnetz zugreifen, da die Firewall-Regel trotz Rootrechten nicht überschrieben werden kann.
 
Last edited:
  • Like
Reactions: noPa$$word

Flopper

New Member
May 1, 2021
4
0
1
28
Das sollte glaube ich gehen.

Wenn du einem unprivilegierten User erlaubst sich per sudo zum Root zu machen, dann ist das auch nicht sicherer als wenn man gleich root benutzt. Sudo sollte man eigentlich nur nutzen um bestimmten Usern Zugriff auf bestimmte Dateien/Programme zu erlauben, welche man über die Sudo-Konfig-Datei angibt. Dass die User dann alles über ein vorangestelltes "sudo" machen dürfen sollte man da verbieten. Also quasi Whitelisting über Sudo, dass da echt nur das wenige geht, was root Rechte erfordern würde, was der User wirklich braucht und ihm explizit erlaubt wurde.

Ich persönlich habe hier meine VMs über die OPNsense VM in über ein dutzend Subnetze in eigenen VLANs getrennt. Primär nutze ich da die OPNSense für Regeln die bestimmen, welches Subnetz wie mit welchem Subnetz kommunizieren darf. Die OPNSense ist da ja viel mächtiger und kann auch Intrusion Prevention etc.
Die Proxmox-Firewall ist aber dennoch nützlich, weil man mit ihr eben auch die Kommunikation von VM zu VM innerhalb eines Subnetzes beschränken kann. Das würde zwar auch über iptable innerhalb der VMs gehen, aber im Gegensatz dazu hat der Gast selbst dann ja keinen Zugriff auf die Firewall die ihn schützt. Wenn ich über die Proxmox-Firewall einer VM einen Port eigehend und ausgehend blockiere (z.B. Port 22) und die VM dann gehackt wird und jemand Root-Zugriff erhält, dann kann die VM trotzdem nicht per SSH auf andere VMs im selben Subnetz zugreifen, da die Firewall-Regel trotz Rootrechten nicht überschrieben werden kann.
Opensene werde ich mir auch mal ansehen. Hast du denn noch etwas vor dem Host laufen? (Hardware Firewall, IPTables)
Oder hängen deine Host sowieso nur im Lokalen Netz?
 

Dunuin

Famous Member
Jun 30, 2020
7,296
1,759
149
Germany
Hier daheim sind die virtuellen OPNsenses meine "Hardware" Firewalls. Da laufen zwei OPNsenses auf 2 Servern als Master-Slave im HighAvailability-Modus und alles was irgendwie aus dem Internet kommt oder in das Internet will muss vorher durch eine der beiden OPNsense VMs. Wirklich eigene Hardware für die OPNsenses wäre zwar schöner, aber war hier wegen Anschaffungs- und Stromkosten keine Option.
 

Leon Gaultier

Well-Known Member
Mar 14, 2019
841
103
48
44
Ich habe mein Proxmox auch bei Hetzner. Ich habe mir eine zusätzliche IP Adresse geben lassen welche ich an eine virtualisierte OPNSense hänge haben. Den Proxmox selbst habe ich entsprechend abgesichert. Sämtliche Verbindungen gehen direkt über die Sense. Verwalten tue ich das ganze über VPN auf der Sense. Es gibt lediglich einen einzigen Notfallzugang auf den Proxmox, abgesichert mit Zertifikat und Passwort welches 40 Zeichen hat und in meinen Keystore liegt.
 

Flopper

New Member
May 1, 2021
4
0
1
28
Ich bin zurzeit an der Konfiguration meiner OpenSense dran, kriege es allerdings nicht hin das meine vms die hinter den Sense hängen per öffentlicher IP erreichbar sind die ich ihnen per 1:1 Nat zugewiesen habe.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!